De Autoriteit Persoonsgegevens eist onmiddellijk opheldering van de GGD rond de datadiefstal en het verhandelden van privégegevens van mensen die een coronatest hadden gedaan. De GGD deed maandag al aangifte tegen twee medewerkers. Ze zijn inmiddels gearresteerd.
Het komt allemaal voort uit onderzoek van RTL-nieuws. Daaruit bleek dat er een tijd lang grootschalige handel plaatsvond in persoonsgegevens van miljoenen Nederlanders. Die data komen uit de twee belangrijkste coronasystemen van de GGD. Het gaat om adressen, telefoonnummers, burgerservicenummers en testresultaten.
Informatielijn
De AP eist naast directe opheldering ook dat de GGD burgers goed en snel moeten informeren over de diefstal. Daarom moeten ze een informatielijn openstellen en snel nadere informatie geven op de site.
De AP waarschuwde eerder zowel de overheid als de zorgsector de laatste jaren al regelmatig dat beveiliging van medische gegevens aan de hoogste eisen moet voldoen. Deze datadiefstal laat weer eens zien hoe belangrijk gegevensbescherming is.
Iedere organisatie, en dus ook de overheid, moet de beveiliging van persoonsgegevens als topprioriteit aanmerken, stelt het AP. “Hoe meer je doet met data, hoe groter de risico’s zijn. En hoe hoger het niveau van gegevensbescherming daarom moet zijn. Gegevens over iemands gezondheid zijn zeer gevoelig. De (AVG bepaalt dan ook dat die extra beschermd moeten worden ten opzichte van bijvoorbeeld namen en adressen.”
Datasets
Bij het testen op corona en het bron- en contactonderzoek verwerkt de GGD gegevens van heel veel mensen. Deze data bevatten naam, adres, woonplaats, telefoonnummers en ook nog eens BSN’s en testresultaten. Allemaal actuele data en in grote hoeveelheden. Dat is heel veel waard voor kwaadwillenden.
Bij het testen en bron- en contactonderzoek zijn veel mensen betrokken. AP: “Dan juist moet je je gegevens extra goed beveiligen. En checken of medewerkers niet meer gegevens opvragen dan noodzakelijk of complete datasets downloaden.”
Nalatig
Aleid Wolfsen, voorzitter van de AP, stelt dat iemands medische gegevens, adres, telefoonnummer en BSN zijn zeer privé. “En dat moeten ze ook blijven. Zulke informatie is heel geschikt voor bijvoorbeeld identiteitsfraude en phishing. De beveiliging moet daarom aan de hoogste eisen voldoen. Doe je dat onvoldoende, dan ben je nalatig en kun je aansprakelijk gesteld worden. Je riskeert dan niet alleen een boete van de AP, maar mogelijk ook claims van slachtoffers.”
Lees ook:
- GGD naar politie om medewerkers die privégegevens verhandelden
- Vier redenen om zero trust te adopteren
